Fachartikel

Risikomanagement – vom SOLL zum MUSS, aber wie?

|IT-Security

Risiken gab es schon immer. Nicht immer werden entsprechende risikobehaftete Vorgänge jedoch als solche bewusst wahrgenommen. Unser tägliches Leben besteht zu einem nicht unbeträchtlichen Teil aus dem Handling von diversen Risiken, welche oft intuitiv im täglichen Leben umschifft werden.

Ähnlich verhält es sich im Unternehmenskontext – hier ist ein effektives Risikomanagement essentiell wichtig. Denn: ohne Risiken keine Chancen. Das heißt, die Etablierung neuer Geschäftsprozesse und Services ist ohne das Eingehen gewisser Risiken nicht möglich. Aber auch die Risiken auf bestehende Geschäftsprozesse und Infrastrukturen unterliegen einem stetigen Wandel.

Um ein paar Bereiche zu nennen:

  • Denken Sie nur an die aktuelle Covid-19-Pandemie. Pandemische Risiken schienen lange Zeit weit weg, seit 2020 sind diese Risiken “omnipräsent” und müssen entsprechend mit einer ganz anderen Priorität behandelt werden.
  • Cyber-Risiken steigen aufgrund der größeren IT-Durchdringung der Unternehmensprozesse als Folge der zunehmenden Digitalisierung
  • Lieferketten-Probleme nehmen Ende 2021 nie dagewesene Dimensionen an
  • Verlagerung von Geschäftsprozessen und Services in die Cloud

Anforderungen an Risikomanagement


Die richtige Beurteilung und das effektive Management von Risiken ist also das A und O für erfolgreiche Unternehmensprozesse. Dazu kommen für viele Unternehmen Compliance-Anforderungen an das Risikomanagement, diese können u.a. aus folgenden Bereichen resultieren:

  • Sicherstellung von für die Versorgung der Bevölkerung kritischer Geschäftsprozesse (BSI-KritisV)
  • Informationssicherheits-Management (ISO 27001, BSI IT-Grundschutz)
  • Datenschutz (EU-DSGVO)
  • Qualitätsmanagement (ISO 9001)
  • Notfallmanagement (ISO 22301, BSI 200-4)
  • Internes Kontrollsystem (IKS)

Risikomanagement kann als kleinster gemeinsamer Nenner bzw. auch als Klammer um alle diese verschiedenen Anforderungen an das Management von Unternehmensprozessen dienen, wie die folgende Abbildung verdeutlicht.

Aber auch ohne externe Trigger wird die Etablierung eines effektiven Risikomanagement vom SOLL zum MUSS. Zwei Trends tragen dazu wesentlich bei: zum einen die fast kontinuierlich steigende Bedrohungslage durch Cyber-Attacken (allen voran Ransomware-Attacken) und zum anderen die im Zuge des steigenden Digitalisierungsgrades immer größer werdende Angriffsfläche der Unternehmens-Infrastrukturen. Diese Entwicklungen machen es erforderlich, dass das “Fahren auf Sicht” durch ein Risikomanagement ersetzt wird, welches die bestehenden Risiken transparent macht und damit die Basis für effektive, proaktive Maßnahmen zur Minimierung der Risiken bildet.

Risikomanagementprozesse in der Praxis


Doch wie muss ein solches effektives Risikomanagement in der Unternehmenspraxis aussehen, damit es die gewünschten Ergebnisse erzielt? Die Informationssicherheitsnorm ISO 27001 fordert zwar als Kernbestandteil eines ISMS die Umsetzung eines solchen Risikomanagement, macht jedoch keinerlei Hinweise zur konkreten Umsetzung. Hierzu hat sich in unserer Beratungspraxis die ISO-Norm 27005 als sehr hilfreiche Richtschnur erwiesen, welche die Umsetzung eines praktikablen Risikomanagement für die Informationssicherheit beschreibt.

Für die Etablierung einer unternehmensspezifischen Risiko-Methodik sind demnach folgende Teilprozesse zu definieren und umzusetzen:

  • Risikoidentifikation
  • Risikobeurteilung
  • Risikobehandlung

In der folgenden Abbildung ist der Risikomanagement-Zyklus nach der ISO 27005 bzw. der “Mutter” der Risikomanagement-Normen ISO 31000 grafisch dargestellt:

Die Beschreibung von Details dieser Prozessschritte würde den Rahmen dieses Artikels sprengen, zumal die Ausgestaltung der einzelnen Elemente stets unternehmensspezifisch erfolgen muss. Eine grundlegende Basis für das erfolgreiche Risikomanagement ist jedoch in jedem Fall eine möglichst vollständige Asset-Verwaltung. Assets sind laut ISO 27001 alle Komponenten und Systeme eines Unternehmens, die von Wert sind. Das reicht von IT- und Facility-Infrastrukturen über Software-Applikationen bis zu den Mitarbeitern. Ohne deren angepasstes Verhalten gemäß den unternehmensspezifischen Richtlinien zur Informationssicherheit wäre es sehr schwer bis unmöglich, die erforderliche Informationssicherheit zu gewährleisten. Organisatorische und technische Maßnahmen müssen hierzu bei der Risikobehandlung Hand-in-Hand gehen.

Grundsätzlich gilt: nur was ich kenne, kann ich auch vor Risiken (aller Arten) schützen. Eine gute Informationsquelle ist eine Asset-Verwaltung oder eine Configuration Management Database (CMDB) auf einer für die Risikoidentifikation erforderlichen Granularitätsstufe. Das hilft dabei, richtigen Risiken zu erkennen und keine wesentlichen Risiken zu übersehen. Als praxiserprobte CMDB-Lösung empfehlen wir „i-doit“ von synetics.

Bei der Beurteilung der Risiken müssen zum Teil komplexe Beziehungen aus Geschäftsprozessen, zugehörigen Assets, Bedrohungen/Gefährdungen, Schwachstellen und Eintrittswahrscheinlichkeiten beachtet werden, wie sie in folgender Grafik dargestellt sind.

Management mit Excel?


Die Mengen zu betrachtender relevanter Bedrohungen, Schwachstellen, Risiken kann im Kontext der Informationssicherheit schnell große Umfänge annehmen. Das virtuose Handling mit immer komplexeren Excel-Tabellen kann hier schnell an die Grenzen des Machbaren stoßen, insbesondere auch, da solche Risikoanalysen in regelmäßigen Abständen bzw. bei Veränderungen der Infrastruktur oder der Bedrohungslandschaft wiederholt ausgeführt werden müssen. Gerade im Handling wiederkehrender Prozesse und der DB-gestützten Darstellung von Abhängigkeiten zwischen den “Playern” im Risikomanagement-Prozess liegen die Stärken von spezialisierten Tools.

SHD hat auf Basis der BPM-Plattform Aeneis und als strategischer Entwicklungspartner der Firma Intellior die Software-Lösung ISMS@aeneis entwickelt, die alle Prozesse zur Implementierung eines zertifizierungsfähigen ISMS nach der ISO 27001 unterstützt. Im Unterschied zu einer Reihe anderer ISMS-Tools geht unsere Software bei der Betrachtung der Informationssicherheit von den Kernprozessen eines Unternehmens aus und setzt damit genau die von der ISO 27001 empfohlene Top-Down-Vorgehensweise um.

Der Kern des Tools ist die Implementierung eines Informationssicherheits-Risikomanagements gemäß den Anforderungen der ISO 27001 sowie die Integration von Branchenstandards, wie beispielsweise dem B3S Gesundheit.
Das Tool verfolgt darüber hinaus auf Basis der Aeneis-Plattform den integrativen Ansatz, auch die Anforderungen an das Risikomanagement aus den oben erwähnten anderen Compliance-Bereichen abzubilden. Zuvorderst genannt seien Lösungen für BCMS, DSGVO, QM und IKS – Managementsysteme, wie aus der folgenden Einstiegsseite des Tools ersichtlich wird.

Umsetzungsplanung geht vor Toolentscheidung


Leider ersetzt das “schönste” Tool nicht den konkreten Plan zur Umsetzung der komplexen Anforderungen an ein effektiv umsetzbares, anforderungsgerechtes ISMS mit dem Risikomanagement als Kern. Hierbei unterstützen Sie unsere ISMS-Consultants sowohl mit fachlicher Expertise als auch mit Praxiserfahrung aus einer Vielzahl von Projekten. Der Schwerpunkt der Beratungen liegt dabei auf der Unterstützung bei der Einführung von Informationssicherheits- sowie Notfallmanagement-Systemen bis zur Zertifizierungsreife. Im Sinne des integrativen Management-Ansatzes geht der Blickwinkel ebenfalls darüber hinaus auch in Richtung der oben genannten “verwandten” Management-Systeme. Ein noch relativ junges Themenfeld in diesem Zusammenhang ist weiterhin die Beratung bezüglich den im Zuge von MS365 und Co. immer wichtiger werdenden Cloud-Compliance-Themen.

Sie möchten noch mehr erfahren?

Weitere Informationen zum Aufbau eines effektiven Informationssicherheitsmanagements

Kontaktieren Sie uns